Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


lpi2:ssl

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
Nächste Überarbeitung Beide Seiten, nächste Überarbeitung
lpi2:ssl [2017/05/12 14:53]
ingo_wichmann [Als Nutzer ca eine Beispiel CA erstellen]
lpi2:ssl [2018/08/10 11:25]
ingo_wichmann [Diffie Hellman Schlüsselaustausch vorbereiten]
Zeile 2: Zeile 2:
 ===== Diffie Hellman Schlüsselaustausch vorbereiten ===== ===== Diffie Hellman Schlüsselaustausch vorbereiten =====
 DH-Parameter erzeugen: ((https://​bettercrypto.org empfiehlt 4096 Bit)) DH-Parameter erzeugen: ((https://​bettercrypto.org empfiehlt 4096 Bit))
-  openssl dhparam -out /​etc/​ssl/​dhparams.pem ​2048+  openssl dhparam ​-2 -out /​etc/​ssl/​dhparams.pem
  
 DH-Parameter ansehen: DH-Parameter ansehen:
   openssl dhparam -text -in /​etc/​ssl/​dhparams.pem   openssl dhparam -text -in /​etc/​ssl/​dhparams.pem
 +
 +Aufgabe: ​
 +  * welche Bitlänge haben die Diffie Hellman Parameter?
  
 ===== Selbstsignierte Server Zertifikate bauen ===== ===== Selbstsignierte Server Zertifikate bauen =====
-''/​etc/​ssl/​openssl.cnf''​ : ( SuSE 10.2, Debian 4.0 ) 
  
-''/​etc/​pki/​tls/​openssl.cnf''​ : ( CentOS 5 ) +  ​openssl ​req -new -newkey rsa -nodes -subj /C=DE/ST=NRW/L=Essen/O=Linuxhotel/​CN=notebook15.linuxhotel.de -keyout serverkey.pem -out serverreq.csr
-<​file>​ +
-[ req_distinguished_name ] +
-countryName_default ​            = DE +
-stateOrProvinceName_default ​    = NRW +
-localityName_default ​           ​= Essen +
-</file>+
  
 ((https://​bettercrypto.org empfiehlt 4096 Bit)) ((https://​bettercrypto.org empfiehlt 4096 Bit))
-  openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout serverkey.pem -out servercert.pem 
- 
-<​file>​ 
-Country Name (2 letter code) [DE]: 
-State or Province Name (full name) [NRW]: 
-Locality Name (eg, city) [Essen]: 
-Organization Name (eg, company) [Linuxhotel]:​ 
-Organizational Unit Name (eg, section) []: 
-Common Name (eg, YOUR name) []:​notebook07.linuxhotel.de 
-Email Address []:​nutzer07@notebook07.linuxhotel.de 
-</​file>​ 
  
 Schlüssel ansehen: Schlüssel ansehen:
   openssl rsa -in serverkey.pem -text   openssl rsa -in serverkey.pem -text
 +
 +Aufgaben: ​
 +  * welche Länge hat der Schlüssel?
 +  * wie lässt sich ein ECDSA Schlüssel erzeugen?
  
 Zertifikat ansehen: Zertifikat ansehen:
Zeile 39: Zeile 28:
 ===== Server Zertifikat und CA selbst bauen ===== ===== Server Zertifikat und CA selbst bauen =====
 ==== Als root Vorgabewerte setzen ==== ==== Als root Vorgabewerte setzen ====
-''/​etc/​ssl/​openssl.cnf''​ : ( SuSE 10.2, Debian 4.0 )+''/​etc/​ssl/​openssl.cnf''​ : ( SuSE 10.2, ab Debian 4.0 )
  
-''/​etc/​pki/​tls/​openssl.cnf''​ : ( CentOS 5 )+''/​etc/​pki/​tls/​openssl.cnf''​ : ( ab CentOS 5 )
  
 die folgenden Zeilen anpassen die folgenden Zeilen anpassen
Zeile 112: Zeile 101:
  
 Antrag und Schluessel fuer Server erzeugen: ((https://​bettercrypto.org empfiehlt 4096 Bit)) Antrag und Schluessel fuer Server erzeugen: ((https://​bettercrypto.org empfiehlt 4096 Bit))
-  openssl genrsa -out private/​serverkey.pem 2048 +  openssl genrsa -out server-ssl/​serverkey.pem 2048 
-  openssl req -new -key private/​serverkey.pem -out server-ssl/​serverreq.csr+  openssl req -new -key server-ssl/​serverkey.pem -out server-ssl/​serverreq.csr
 oder oder
   openssl req -new -newkey rsa:2048 -nodes -sha512 -keyout server-ssl/​serverkey.pem -out server-ssl/​serverreq.csr   openssl req -new -newkey rsa:2048 -nodes -sha512 -keyout server-ssl/​serverkey.pem -out server-ssl/​serverreq.csr
Zeile 165: Zeile 154:
 //openssl s_server muss noch laufen// //openssl s_server muss noch laufen//
   openssl s_client -connect localhost:​4433 -CAfile /​home/​ca/​ca.linuxhotel.de/​cacert.pem   openssl s_client -connect localhost:​4433 -CAfile /​home/​ca/​ca.linuxhotel.de/​cacert.pem
 +
 +
  
 === in der Praxis === === in der Praxis ===
 +Audit-Tools:​
 +  sslscan linuxhotel.de
 +  testssl.sh linuxhotel.de
 +
 Automatische Audits helfen die Konfiguration zu verbessern: Automatische Audits helfen die Konfiguration zu verbessern:
 +
   * https://​en.internet.nl   * https://​en.internet.nl
   * https://​www.ssllabs.com/​ssltest   * https://​www.ssllabs.com/​ssltest
lpi2/ssl.txt · Zuletzt geändert: 2024/03/21 16:48 von sven_ruess